PROTECȚIA DATELOR CU CARACTER PERSONAL

ÎN MEDIUL ONLINE

PROTECTION OF PERSONAL DATA IN THE ONLINE

ENVIRONMENT

COBÎȘENCO Ion,
Doctorand, USM
Summary
The following comunication aims mainly the technical and scientific fast-
tracking, that has generated a series of methods and techniques through wich certain
transaction, requests, payments etc. are made exclusively online. Except that these
methods are very convenient and useful, they also manage some interference with
the right to privacy and family life. Most online operators request the completion of
formes, questionnaires, surveys, forcing the benefeciary in one way or another, to
disclose their personal data and personal information without guaranteeing their
protection.
Keywords: personal data, identifiable person, security, protection, subject
of personal data, online environment, right to information, right to acces, right to
be not a subject to an individual decision, the right to intervene, the right to access
to Court.
Constituția prevede că „[s]tatul respectă şi ocroteşte viaţa intimă, familială
şi privată”. [1] Fără îndoială conținutul acestei norme constituționale acoperă și
sfera protecției datelor cu caracter personal, or, viața intimă, familială și privată
nu poate fi concepută fără a asigura individului faptul că datele sale cu caracter
personal sunt protejate. Plecând de la această prevedere, regăsim două obligații
ale statului cu referire la protecția datelor cu caracter personal. Pe de o parte,
statul trebuie să respecte obligația pozitivă de a crea un cadru juridic prielnic în
ceea ce privește protecția datelor cu caracter personal, iar pe de altă parte statul
nu trebuie să intervină prin anumite ingerințe nejustificate.
În vederea respectării primei sale obligații constituționale, statul, prin
puterea sa legislativă, a adoptat Legea nr.133 din 08.07.2011 privind protecţia
datelor cu caracter personal. Actul normativ definește ca fiind date cu caracter
personal „orice informație referitoare la o persoană fizică identificată sau
identificabilă (subiect al datelor cu caracter personal). Persoana identificabilă

138
COBÎȘENCO Ion

este persoana care poate fi identificată, direct sau indirect, prin referire la un
număr de identificare sau la unul ori mai multe elemente specifice identității sale
fizice, fiziologice, psihice, economice, culturale sau sociale.” [2]
În acest sens, toate datele specificate care mai sunt și prezente în mediul
online urmează a fi apreciate ca fiind date cu caracter personal. Tot acest act
normativ definește consimţământul subiectului datelor cu caracter personal ca
fiind „orice manifestare de voință liberă, expresă şi necondiționată, în formă scrisă
sau electronică, conform cerinţelor documentului electronic, prin care subiectul
datelor cu caracter personal acceptă să fie prelucrate datele care îl privesc”. [2]
În practică, observăm că operatorii din mediul online preiau anumite
date cu caracter personal, cum ar fi adresa IP, modelul dispozitivului utilizat,
cookie-urile etc., fără ca persoana fizică să fie anunțată despre aceste operațiuni
și fără a-i solicita acordul. În ambele situații (când subiectul datelor cu caracter
personal consimte sau nu asupra utilizării acestora), persoana fizică nu are
nicio garanție asupra confidențialității acestor date, prelucrării, transmiterii și
procesării informațiilor, în conformitate cu normele de drept în vigoare. Pe de
altă parte, în momentul în care dorește să facă unele operațiuni, persoana nu le
va putea duce până la bun sfârșit dacă nu bifează anumite condiții și reguli. Multe
dintre aceste condiții sunt înșirate pe zeci de pagini, au un conținut vag și foarte
tehnic, iar subiectul datelor cu caracter personal, indirect este obligat să bifeze că
este de acord cu anumite condiții, doar ca să poată realiza anumite proceduri. În
cazul unui refuz din partea celor din urmă de a-și introduce datele, de cele mai
multe ori, prestatorul de servicii îi limitează persoanei fizice dreptul de a finaliza
comanda, de a participa la sondaje, concursuri, interviuri ș.a.
Prelucrarea acestor date de către operatorii online trebuie notificată la
Centrul Națioal pentru Protecția Datelor cu Caracter Personal în condițiile
celorlalți operatori, legea nefăcând nici o distincție între aceștia.
Totuși, în doctrină s-a susținut faptul că „utilizatorilor de internet care
pot fi consideraţi operatori de date personale ar trebui să li se aplice un regim
special, proporţional activităţii întreprinse, astfel încât aceştia să respecte un set
minim de garanţii privind protecţia datelor altor persoane – precum ştergerea
datelor urcate pe o pagină de internet, modificarea lor dacă acestea sunt eronate
etc., fără însă a le fi impuse obligaţii care, oricum, sunt imposibil de pus în
practică, precum notificarea Autorităţii de supraveghere cu privire la activitatea
de prelucrare a datelor”.[3, p. 180]

139
Protecția datelor cu caracter personal în mediul online

Această problemă a fost pusă și la nivelul Consiliului Europei prin

adoptarea încă din anul 1981 a Convenției pentru protecția persoanelor referitor
la prelucrarea automatizată a datelor cu caracter personal. Pentru prima dată la
nivel internațional au fost recunoscut dreptul persoanelor de „a cunoaşte atât
existenţa fişierului automatizat de date cu caracter personal, finalităţile sale
principale, cât şi identitatea şi reşedinţa permanentă sau sediul principal al
administratorului fişierului; de a obţine într-un termen rezonabil şi fără amânare
sau cheltuieli excesive atât confirmarea existenţei sau inexistenţei, în fişierul
automatizat, a datelor cu caracter personal ce o vizează, precum şi comunicarea
acestor informaţii într-o formă inteligibilă; de a obţine, în caz de necesitate,
rectificarea sau ştergerea acestor date în cazul când pe parcursul prelucrării lor
au fost încălcate dispoziţiile dreptului intern care asigură efectul principiilor de
bază; de a face recurs în cazul când nu i se răspunde la o cerere de confirmare
sau, în caz de necesitate, de comunicare, de rectificare sau de ştergere a datelor
(...)”. [4, art.8]
Cu titlu de recomandare, la nivelul Consiliului Europei s-a susținut că
„[p]relucrarea datelor cu caracter personal de către motoarele de căutare capătă
o dimensiune suplimentară datorită proliferării datelor audiovizuale (imagini
digitale, conținut audio și video) și popularității crescânde a accesului la internet
mobil. Motoarele de căutare specializate care permit utilizatorilor să găsească
informații despre persoane, servicii bazate pe localizare, includerea imaginilor
generate de utilizatori în indici de căutare cu scop general și tehnologii de
recunoaștere a feței din ce în ce mai exacte sunt câteva dintre evoluțiile care
ridică îngrijorări cu privire la impactul viitor al motoarele de căutare privind
drepturile fundamentale, cum ar fi dreptul la viață privată și potențialul său
impact asupra exercitării libertății de exprimare sau dreptul de a căuta, primi și
transmite informații la alegere”. [5, pct.7]
În cadrul Uniunii Europene au fost adoptate o serie de acte normative
care vin a reglementa modalitățile de preluare, stocare, prelucrare și transmitere
a datelor cu caracter personal. Directivei 95/46/CE a Parlamentului European şi a
Consiliului din 24 octombrie 1995 privind protecţia persoanelor fizice în ceea ce
priveşte prelucrarea datelor cu caracter personal şi libera circulaţie a acestor date
reprezintă actul de bază adoptat în acest sens de către Uniunea Europeană și actul
de bază care a stat și la adoptarea Legii nr. 133 din 08.07.2011 privind protecţia
datelor cu caracter personal.
Începând cu 25 mai 2018, odată cu intrarea în vigoare a Regulamentului

140
COBÎȘENCO Ion

general privind protecția datelor, tuturor companiilor care desfășoară activități în

UE li se aplică același set de norme privind protecția datelor, oriunde și-ar avea
sediul. [6]
Normele prevăd situațiile în care o companie sau organizație are
permisiunea de a colecta sau reutiliza informațiile cu caracter personal:
- compania/organizația are un contract cu persoana fizică – de exemplu,
un contract de furnizare de bunuri sau servicii sau un contract de angajare;
- compania/organizația are obligația legală de a procesa date cu caracter
personal – de exemplu când angajatorul furnizează informații despre salariul
lunar autorității pentru securitate socială, astfel încât persoana fizică să beneficieze
de sistemul de asigurări sociale;
- procesarea datelor cu caracter personal este în interesul vital al persoanei
fizice – de exemplu când acest lucru este necesar pentru protecția vieții;
- îndeplinirea unei sarcini publice – în special în ceea ce privește atribuțiile
administrațiilor publice (școli, spitale, municipalități);
- existența unui interes legitim – de exemplu, când banca comercială
utilizează informațiile cu caracter personal pentru a verifica dacă persoana fizică
este eligibilă pentru un cont de economii cu o rată a dobânzii mai mare. [8]
În toate celelalte situații, este necesar expres consimțământul persoanei
fizice – subiect al datelor cu caracter personal.
Analizând atât reglementarea națională, cât și cea națională, deducem
că, cu excepția cazurilor enumerate mai sus, în cazul în care datele cu caracter
personal sunt colectate direct de la subiectul datelor, operatorul sau persoana
împuternicită de către operator este obligată să-i furnizeze următoarele informații,
exceptând cazul în care acesta deține deja informaţiile respective:
- detalii despre compania/organizația care va prelucra datele cu caracter
personal, inclusiv datele sale de contact, precum și datele de contact ale
responsabilului cu protecția datelor, dacă acesta există;
- motivul pentru care compania/organizația va folosi datele persoanei
fizice;
- perioadă de păstrare datele cu caracter personal;
- informații despre orice altă companie sau organizație care va primi datele
cu caracter personal ale persoanei fizice;

141
Protecția datelor cu caracter personal în mediul online

- informații despre drepturile în materie de protecție a datelor (acces,

modificare, ștergere, trimiterea unei plângeri, retragerea consimțământului ș.a.)
Prima problemă identificată în acest proces, care se desfășoară exclusiv
online, este identitatea operatorului. În multe cazuri identitatea acestuia este
greu de stabilit, iar în altele, chiar imposibilă. Societățile comerciale nu-și
afișează denumirea, IDNO-ul și sediul pe site-urile pe care le gestionează, în
ciuda faptului că aceste adrese web sunt create și administrate de societățile în
cauză. Denumirea societății comerciale (în cazul nostru al operatorului) nu este
identică cu denumirea site-ului, fapt care cauzează o problemă persoanei fizice în
momentul în care dorește să-și retragă consimțământul la preluarea, transmiterea
și prelucrarea datelor cu caracter personal, sau alte aspecte ce vizează aceste date.
O altă problemă identificată reprezintă și modalitatea în care operatorii
informează subiecții datelor cu caracter personal despre conținutul datelor, scopul
prelucrării și existența drepturilor de acces la date, de intervenție asupra datelor
şi de opoziție, precum şi condiţiile în care acestea pot fi exercitate. Majoritatea
operatorilor din mediul on-line, în momentul în care solicită de la persoanele
fizice prezentarea unor date cu caracter personal, direcționează persoanele fizice
să bifeze un compartiment care indică „accept termenii și condițiile”, iar acestea
din urmă, fără a da o atenție deosebită și fără a studia amănunțit aceste condiții,
bifează rapid acea fereastră. Toate aceste informații ar trebui să fie prezentate
într-un mod clar și accesibil.
Instituțiile de drept public și privat din Republica Moldova deseori
afișează, în diferite formate, date cu caracter personal, de exemplu numele și
prenumele unor candidați care au depus dosarele privind ocuparea unei funcții
vacante sau în legătură cu soluționarea unor cereri, fără a le cere să-și exprime
consimțământul în vederea publicării acestor date. Această practică trebuie
eliminată în totalitate, iar subiecții datelor cu caracter personal și autoritatea
competentă privind controlul conformități prelucrării datelor cu caracter
personal cu cerințele actelor normative în vigoare, la caz Centrul Naţional pentru
Protecţia Datelor cu Caracter Personal, urmează să ia măsuri pentru a elimina
aceste practici ilegale.
Potrivit art. 5, alin. (2) din Legea nr. 133 din 08.07.2011 privind protecţia
datelor cu caracter personal, consimţământul privind prelucrarea datelor cu
caracter personal poate fi retras în orice moment de către subiectul datelor cu
caracter personal. Retragerea consimțământului nu poate avea efect retroactiv.

142
COBÎȘENCO Ion

În acest caz, dacă anterior persoana fizică și-a dat consimțământul pentru
ca o companie sau o organizație să utilizeze datele cu caracter personal, aceasta
va putea, în orice moment, să contacteze operatorul de date (persoana sau
operatorul care procesează datele) și să retragă această permisiune. De îndată ce
va face acest lucru, compania sau organizația nu va mai putea să utilizeze datele
cu caracter personal. [7]
În medul on-line mai sunt folosite și așa-zisele Cookie-uri. Acestea
reprezintă fișiere care stochează informații despre persoanele fizice, browser-
ul web și comportamentul persoanelor pe internet. Ele sunt fișiere foarte mici
păstrate pe PC-ul sau pe dispozitiv ce pot fi folosite de site-urile sau de aplicațiile
web pentru a ajusta experiența persoanei în mediul on-line. [8]
Orice site care dorește să utilizeze module cookie trebuie să ceară
consimțământul persoanei înainte de a instala un astfel de fișier pe calculator sau
dispozitivul mobil. Nu este suficient ca un site să informeze că utilizează cookie-
uri sau să explice cum se dezactivează. Operatorii trebuie să informeze subiecții
datelor cu caracter personal și cum vor fi folosite toate aceste informații. Așa cum
am specificat mai sus, operatorii trebuie să prevadă într-un mod clar și accesibil
cum se poate retrage consimțământul privind utilizarea cookie-urilor.
Sunt si module de cookie pentru care nu este necesar consimțământul
persoanei fizice – subiect al datelor cu caracter personal. Cele utilizate cu
unicul scop de a efectua transmiterea unei comunicări nu necesită acordarea
consimțământului. În această categorie sunt incluse, de exemplu, cookie-urile
folosite pentru „echilibrarea încărcării” (permițând ca cererile unui server web
să fie distribuite pe mai multe mașini în loc de una). Nici cookie-urile care sunt
strict necesare pentru a furniza un serviciu on-line pe care îl solicită în mod
explicit persoana fizică nu au nevoie de consimțământ. Este vorba, de exemplu,
despre cookie-urile utilizate când aceasta completează un formular on-line sau
când folosește un coș de cumpărături, deci pentru achiziționarea produselor on-
line.
Într-o altă ordine de idei, Republica Moldova a adoptat un cadru normativ
care vine să asigure securitatea datelor cu caracter personal prin obligarea
operatorilor să manifeste prudență maximă în procesul de prelucrare a datelor
cu caracter personal. Unul dintre cele mai importante acte normative reprezintă
și Hotărârea de Guvern nr. 1123 din 14.12.2010 privind aprobarea Cerinţelor
faţă de asigurarea securității datelor cu caracter personal la prelucrarea acestora
în cadrul sistemelor informaționale de date cu caracter personal. Acest act are

143
Protecția datelor cu caracter personal în mediul online

drept scop „stabilirea regulilor minime de implementare de către deținătorii de

date cu caracter personal a măsurilor tehnice şi organizatorice necesare pentru
asigurarea securității, confidențialității şi integrităţii datelor cu caracter personal
prelucrate în cadrul sistemelor informaționale de date cu caracter personal şi/sau
registrelor ținute manual”. [9, pct.1]
Astfel, operatorii online sunt obligați să asigure protecţia datelor cu
caracter personal în sistemele informaționale de date cu caracter personal pentru
a preîntâmpina scurgerea informației care conţine date cu caracter personal prin
metoda excluderii accesului neautorizat la aceasta, preîntâmpinării distrugerii,
modificării, copierii, blocării neautorizate a datelor cu caracter personal în rețelele
telecomunicaționale şi resursele informaționale, respectării cadrului normativ de
folosire a sistemelor informaționale şi a programelor de prelucrare a datelor cu
caracter personal și asigurării caracterului complet, integru, veridic al datelor cu
caracter personal în rețelele telecomunicaționale şi resurselor informaționale.[9,
pct.9]
Mediul online este într-o continuă ascendență și este folosit din ce în ce mai
mult. Internetul asigură persoanelor anumite servicii fără ca acestea să depună
un efort considerabil. Nu este necesar sa te deplasezi la magazin, la bancă sau la
alte instituții pentru a accesa anumite servicii. Deschizi calculatorul și cumperi ce
dorești, aplici pentru orice post vacant sau îți plătești serviciile comunale. Pentru
a îndeplini toate aceste acțiuni, este necesar de a prezenta unele date care au
caracter personal anumitor operatori, care se prezumă a fi de bună - credință. Cu
toate acestea, nu de puține ori asistăm la încălcarea securității datelor cu caracter
personal prin publicarea anumitor date, prin transmiterea acestora și rămânem
uimiți în momentul în care ne vin anumite oferte comerciale și/sau anunțuri
pe telefoanele mobile sau pe adresa electronică. Toate aceste acțiuni ajung a fi
posibile prin faptul că persoanele fizice nu se informează suficient înainte de a
consimți la folosiri datelor cu caracter personal oricui, sau le expun din propria
voință, fără a realiza consecințele juridice ale acestor acțiuni.

Referințe bibliografice:
1. Constituția Republicii Moldova // Monitorul Oficial al Republicii Moldova,
1994, nr. 1

2. Legea nr. 133 din 08.07.2011 privind protecţia datelor cu caracter personal
// Monitorul Oficial al Republicii Moldova, 2011, nr. 170-175;

144
COBÎȘENCO Ion

3. Zanfir G. Drepturile persoanei vizate în contextul prelucrării datelor private

/ Teză de doctor în drept. Craiova, 2013.

4. Convenția pentru protecția persoanelor referitor la prelucrarea automatizată

a datelor cu caracter personal // Tratate Internaționale, 2015, Nr. 44.

5. Consiliul Europei, Recomandarea CM/Rec(2012)3 a Comitetului de Miniștri

către statele membre privind protecția drepturilor omului în ceea ce privește
motoarele de căutare, 4 aprilie 2012. [citat 15.11.2020] Disponibil: https://search.
coe.int/cm/Pages/result_details.aspx?ObjectID=09000016805caa87

6. Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului

din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește
prelucrarea datelor cu caracter personal și libera circulație a acestor date și de
abrogare a Directivei 95/46 / CE (Regulamentul general privind protecția datelor)
[citat 15.11.2020]. Disponibil: https://eur-lex.europa.eu/legal-content/RO/
TXT/?uri=uriserv:OJ.L_.2016.119.01.0001.01.ENG&toc=OJ:L:2016:119:TOC

7. Protecția datelor și a vieții private în mediul on-line. [citat 15.11.2020].

Disponibil: https://europa.eu/youreurope/citizens/consumers/internet-
telecoms/data-protection-online-privacy/index_ro.htm

8. Ce sunt cookie-urile și ce fac ele? [citat 24.11.2020] Disponibil: https://www.

digitalcitizen.ro/intrebari-simple-sunt-cookie-urile-si-care-este-scopul-lor/

9. Hotărârea de Guvern nr. 1123 din 14.12.2010 privind aprobarea Cerinţelor

faţă de asigurarea securităţii datelor cu caracter personal la prelucrarea acestora
în cadrul sistemelor informaţionale de date cu caracter personal //Monitorul
Oficial al Republicii Moldova, 2010, Nr. 254-256.

145